VPB-62.59 - 1997-11-21 - Préposé fédéral à la protection des données et à la transparence (PFPDT) - Datenschutz im Sozialversicherungsbereich. Interne Akten

VPB 62.59

(Eidgenössischer Datenschutzbeauftragter, 21. November 1997)

Datenschutz im Sozialversicherungsbereich. Interne Akten - Externe Akten.

Art. 8 und 9 DSG. Einschränkungen des Auskunftsrechts.

Die Akteneinsichtsordnung im Sozialversicherungsbereich unterscheidet zwischen internen und externen Akten. Externen Akten kommt Beweischarakter zu. Sie werden den Betroffenen auf Anfrage gezeigt. Einsicht in interne Akten hingegen, die nur der verwaltungsinternen Meinungsbildung dienen sollen, wird den Versicherten nicht gewährt. Die generelle Verweigerung der Einsicht in interne Akten verletzt jedoch das Datenschutzgesetz.

Protection des données dans le domaine des assurances sociales. Pièces internes - pièces externes.

Art. 8 et 9 LPD. Restriction du droit d'accès.

La réglementation relative à la consultation du dossier dans le domaine des assurances sociales distingue entre pièces internes et externes. On reconnaît aux pièces externes un caractère de preuve et ils sont montrés à la personne concernée qui le demande. Les pièces internes en revanche, qui doivent seulement permettre à l'administration de se forger une opinion, ne peuvent être consultées par l'assuré. Cependant, un refus général de la consultation des pièces internes viole la loi sur la protection des données.

Protezione dei dati nel settore delle assicurazioni sociali. Atti interni - atti esterni.

Art. 8 e 9 LPD. Restrizione del diritto d'accesso.

La normativa in materia di esame degli atti nel settore delle assicurazioni sociali distingue gli atti interni da quelli esterni. Agli atti esterni viene riconosciuto il carattere probatorio. Essi vengono mostrati agli interessati su richiesta. Per contro, gli assicurati non possono consultare gli atti interni, i quali devono servire unicamente alla formazione dell'opinione interna dell'amministrazione. Il rifiuto generale dell'esame degli atti interni viola però la legge sulla protezione dei dati.

1. Ausgangslage

1.1. Mit Datum vom 25. Juli 1998 wurde beim Bundesamt für Sozialversicherung (BSV) eine Aufsichtsbeschwerde zur Problematik der internen/externen Akten im Unfallversicherungsbereich eingereicht. Da die vorliegende Angelegenheit vor allem Fragen des Datenschutzes betrifft, wurde der Eidgenössische Datenschutzbeauftragte (EDSB) zur Stellungnahme eingeladen. Im folgenden wird die Antwort des EDSB vom 21. November 1997 in leicht abgeänderter Form wiedergegeben.

1.2. Die Beschwerdeführerin stellte den Antrag, dass eine Unfallversicherung (Beschwerdegegnerin) anzuweisen sei, das Kreisschreiben des BSV über die Aktenführung und Akteneinsicht in der obligatorischen Unfallversicherung vom 1. Juli 1991[3] anzuwenden und ihr das entsprechende Dossier über ihren verstorbenen Ehemann herauszugeben. Begründet wurde dies vor allem damit, dass die vorenthaltenen Akten externe Akten und daher - im Sinne des erwähnten Kreisschreibens - herauszugeben seien.

Die Beschwerdegegnerin hingegen beantragte die Abweisung der Aufsichtsbeschwerde mit der Begründung, dass es sich um interne Akten handle, welche nicht zu edieren seien. Zudem habe die Beschwerdeführerin kein schutzwürdiges Interesse, welches die Einsicht in die Akten ihres verstorbenen Ehegatten zulassen würde.

Unbestritten ist vorliegend, dass die fraglichen Akten Angaben eines in den Vereinigten Staaten von Amerika (USA) tätigen Detektivs enthalten. Die Beschwerdeführerin beauftragte seinerzeit den Detektiv, Abklärungen über den Unfalltod des in den USA verstorbenen Ehegatten der Beschwerdeführerin zu machen. Die Leistungspflicht wurde schliesslich durch die Beschwerdegegnerin vollumfänglich anerkannt.

1.3. Ob und inwiefern Einsicht in die Akten gewährt werden darf, kann sowohl eine Frage des rechtlichen Gehörs (Akteneinsichtsrecht) als auch des Persönlichkeitsschutzes (Auskunftsrecht) sein. Das Kreisschreiben über die Aktenführung und Akteneinsicht in der obligatorischen Unfallversicherung vom 1. Juli 1991 regelt nur das Akteneinsichtsrecht (vgl. Art. 98 des Bundesgesetzes vom 20. März 1981 über die Unfallversicherung [UVG], SR 832.20). Das Auskunftsrecht findet seine Konkretisierung in Art. 8 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG, SR 235.1). Die beiden Rechtsbehelfe überschneiden sich dann, wenn eine betroffene Person Einblick in die sie betreffenden Akten haben will. Für diesen Fall sind auch die Bestimmungen des Datenschutzgesetzes zwingend einzuhalten. Diesbezüglich stellt sich die Frage, ob die Unterscheidung zwischen internen (und damit nicht edierbaren) Akten und externen Akten aus Sicht des Datenschutzes überhaupt zulässig ist.

Wie im Unfallversicherungsbereich wird auch in der Alters- und Hinterlassenenversicherung (AHV), der Invalidenversicherung (IV), der Erwerbsersatzordnung (EO), im Bereich der Ergänzungsleistungen (EL) und der Familienzulagen in der Landwirtschaft (FL) die Einsicht in Akten, die ausschliesslich verwaltungsinternen Zwecken dienen, nicht gewährt (vgl. Ziff. 27 des Kreisschreibens des BSV über die Schweigepflicht und Akteneinsicht in der AHV/IV/EO/EL/FL vom 1. Oktober 1993[4]). Die nachfolgenden Ausführungen zum Unfallversicherungsbereich gelten somit sinngemäss auch für den AHV-,IV-, EO-, EL-, und FL-Bereich.

2. Akteneinsicht im Unfallversicherungsbereich

2.1. Die Aktenführung im Unfallversicherungsbereich bzw. die Unterscheidung zwischen internen und externen Akten ist im oben (1.2) erwähnten Kreisschreiben konkretisiert. Gemäss bisheriger Lehre und Rechtsprechung (vgl. BGE 115 V 303) wird der in Art. 4 der Bundesverfassung der Schweizerischen Eidgenossenschaft vom 29. Mai 1874 (BV, SR 101) garantierte Mindestschutz nicht verletzt, wenn die Einsicht in interne Akten verweigert wird, da diese nur für den verwaltungsinternen Gebrauch bestimmt seien und nicht zur Begründung einer Verfügung dienen würden. Interne Akten sind z. B. Entwürfe, Anträge, Notizen, Mitberichte, Hilfsbelege (vgl. Ziff. 6 des Kreisschreibens). Unter externen Akten hingegen verstehe man alle anderen Akten, denen für die Behandlung des Falles oder im Hinblick auf die zu erlassende Verfügung Beweischarakter zukomme (z. B. Berichte, Gutachten, Befunde, Protokolle der Schadeninspektoren gemäss Ziff. 5 des Kreisschreibens). Zudem sieht das Kreisschreiben vor, dass während der ganzen Dauer des Verfahrens grundsätzlich immer dieselben Akten als externe und interne zu bezeichnen sind (vgl. Ziff. 7).

2.2. Tatsächlich ist es in der sozialen Unfallversicherung sehr schwierig festzustellen, ob Akten irgendwelche Auswirkungen auf den Entscheid haben oder nicht. Die genaue Abgrenzung zwischen internen und externen Akten ist nicht nur für die zuständigen Sachbearbeiter, welche in der Regel für den Erstentscheid verantwortlich sind, sondern auch für juristisch ausgebildete Mitarbeiter praktisch unmöglich. Falls jedoch die Verwaltung für die Entscheidfindung bedeutsame Beweisergebnisse nur als interne Akten bezeichnet und daher die Akteneinsicht für diese Papiere verweigert, verstösst dies gegen den Grundsatz des rechtlichen Gehörs (vg. BGE 115 V 303).

Mögen im Einzelfall interne Akten tatsächlich nicht zur Begründung einer Verfügung herangezogen werden, so können sie doch bei medizinisch heiklen Diagnosen, bei denen die Frage der Kausalität sehr umstritten ist (Beispiel Schleudertrauma), eine wesentliche Rolle spielen. Bei solch kritischen Fällen ergibt sich - und nicht zuletzt aufgrund der internen Akten - je nach dem ein Gesamtbild, was sehr wohl Auswirkungen auf die Verfügung haben kann.

Im weiteren besteht die Gefahr, dass - aufgrund des offenen und nicht abschliessenden Charakters der internen Akten - eher zu viele Dokumente als interne Akten bezeichnet werden. Dies dürfte selbst dann der Fall sein, wenn man den Unfallversicherungsbehörden zugesteht, dass sie sich um ein faires Verfahren bemühen. Die Erfahrungen des Eidgenössischen Datenschutzbeauftragten haben gezeigt, dass es sich bei den internen Akten keineswegs nur um blosse Entwürfe, Notizen und Hilfsbelege handelt, die nur der verwaltungsinternen Meinungsbildung dienen.

Zudem soll es auch schon vorgekommen sein, dass ursprünglich als intern bezeichnete Akten zu einem späteren Zeitpunkt im Verfahren als Beweismittel verwendet wurden, was nicht zulässig wäre (vgl. Ziff. 7 des Kreisschreibens). Auch hier hätte die Einsicht in die Akten für den Betroffenen von Anfang an gewährt werden bzw. diese Akten als externe Akten geführt werden müssen.

2.3. Da die versicherte Person in der Regel keine Hinweise auf den Bestand von entscheidrelevanten, internen Akten hat, hat sie in der Praxis auch keine Möglichkeit, ihren Anspruch auf rechtliches Gehör durchzusetzen. Denn auf blosse vage Vermutungen, dass allenfalls «Geheimakten» vorhanden sein könnten, treten die Gerichte nicht ein (vgl. BGE 115 V 307). Es ist demnach ohne konkrete Hinweise unmöglich, sich gegen interne Akten, die gegen Art 4 BV verstossen, zu wehren. Jedoch gerade hier liegt die Krux: Aufgrund des «geheimen» Charakters der internen Akten dürfte es den Versicherten in den seltensten Fällen gelingen, konkrete Anhaltspunkte zu bekommen.

Man kann sich somit zu Recht fragen, ob die bisherige Praxis der internen und externen Akten nicht gegen Art. 4 BV verstösst. Selbst wenn man auf diese Abgrenzung verzichten würde, bestünde für die Verwaltung immer noch die Möglichkeit, schutzwürdige Geheimhaltungsinteressen einer Einsichtnahme entgegenzuhalten (vgl. Georg Müller in Kommentar zur Bundesverfassung der Schweizerischen Eidgenossenschaft vom 29. Mai 1874 [Stand Mai 1995], Basel/Zürich/Bern, Art. 4, Rz. 109).

2.4. Im vorliegenden Fall geht es auch um die Frage, ob die Dokumente des amerikanischen Privatdetektivs im Zusammenhang mit dem Tod des Ehemanns der Beschwerdeführerin als externe oder interne Akten zu bezeichnen sind.

Entscheidend ist der Zweck der Untersuchungen in den USA. Sollten diese tatsächlich ergeben haben, dass es sich vorliegend nicht um Selbstmord, sondern um einen Unfall handelt, sind die entsprechenden Dokumente zweifellos externe Akten. Die Abklärungen wären dann sehr wohl relevant für die Entscheidung der Beschwerdegegnerin gewesen (Unfall statt Selbstmord). Dasselbe dürfte auch dann gelten, wenn die Untersuchungen keine endgültige Gewissheit betreffend die Todesursache gebracht haben bzw. allenfalls nur Indizien, die auf einen Unfall schliessen lassen.

Im übrigen ist es für den Eidgenössischen Datenschutzbeauftragten schwer vorstellbar, dass solche Recherchen, die in der Regel sehr kostenintensiv sind, nur der internen Meinungsbildung dienen und keine Auswirkungen auf die Verfügung haben sollen.

3. Auskunftsrecht nach Datenschutzgesetz

3.1. Selbst wenn man davon ausginge, dass es sich vorliegend um interne Akten handeln würde, müsste untersucht werden, ob nicht dennoch das Auskunftsrecht nach den Bestimmungen des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG, SR 235.1) geltend gemacht werden könnte.

3.2. Das Auskunftsrecht ist das «bedeutendste Institut des Datenschutzgesetzes» (BBl 1988 II 452). Es ist wirklich «das Herzstück der ganzen Vorlage über das neue Datenschutzgesetz» (AB 1990 S 140). Jede Person kann vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob Daten über sie bearbeitet werden (Art. 8 Abs. 1 DSG). Das Auskunftsrecht bleibt indessen auf die eigenen Daten der auskunftsberechtigten Person beschränkt. Gestützt auf Art. 8 Abs. 2 Bst. a DSG muss der Inhaber der Datensammlung jeder Person alle über sie in der Datensammlung vorhandenen Daten mitteilen.

«Dem Auskunftsrecht unterliegen die Daten unabhängig davon, ob sie in Text, Bild, Ton oder in einer sonstigen Form aufgezeichnet sind und ungeachtet der Art ihrer Speicherung. Der Begriff der Datensammlung ist dabei funktional zu verstehen: Mit der Anlage einer Datensammlung wird regelmässig ein bestimmter Zweck verfolgt, z. B. die Beurteilung des Gesundheitszustandes oder Arbeitsleistung von Personen (vgl. zum Recht auf Einsicht in die Personalakte den Entscheid des BGer 4c.297/1993v.8.4.1994). Alle Aufzeichnungen, die diesem Zweck dienen und nach Personen erschliessbar sind, fallen deshalb unter das Auskunftsrecht. Die speichernde Stelle kann damit das Auskunftsrecht nicht dadurch unterlaufen, indem sie neben der Datensammlung noch weitere (z. B. separat aufbewahrte handschriftliche Aufzeichnungen des Vorgesetzten über die Arbeitsleistung und Person seiner Mitarbeiter) führt. Die Unart, bestimmte Informationen, die man dem Betroffenen vorenthalten möchte, separat zu führen, als zu deklarieren und deshalb dem Auskunftsanspruch als nicht unterliegend zu betrachten, obwohl sie für dessen Beurteilung gleich massgebend sind wie die Informationen in Datensammlungen, schiebt das Gesetz damit zutreffenderweise den Riegel»
(Alexander Dubach, Kommentar zum Schweizerischen Datenschutzgesetz [Kommentar DSG], Basel / Frankfurt am Main 1995, zu Art. 8 Rz. 34).

Die Auskunft hat in der Regel schriftlich, in Form eines Ausdrucks oder einer Fotokopie sowie grundsätzlich kostenlos zu erfolgen (Art. 8 Abs. 5 Satz 1 DSG). Die Regelung gemäss Art. 123 Abs. 1 der Verordnung vom 20. Dezember 1982 über die Unfallversicherung (UVV, SR 832.202), wonach die Berechtigten die Akten nur am Sitz des Versicherers oder bei der regionalen Vertretung einsehen können, verstösst somit gegen das jüngere DSG, soweit ihre eigenen Daten betroffen sind. Dies wurde auch vom Bundesgericht (BGer) bestätigt (vgl. Urteil des BGer 2 A 236 / 1997 vom 26. November 1997).

3.3. Die Einschränkungsgründe des Auskunftsrechts sind in Art. 9 DSG abschliessend normiert. Der Inhaber der Datensammlung kann die Auskunft verweigern, einschränken oder aufschieben, soweit ein formelles Gesetz es vorsieht oder es wegen überwiegender Interessen eines Dritten erforderlich ist (Art. 9 Abs. 1 DSG). Ein Bundesorgan kann zudem die Auskunft verweigern, einschränken oder aufschieben, soweit es wegen überwiegender öffentlicher Interessen, insbesondere der inneren oder äusseren Sicherheit der Eidgenossenschaft erforderlich ist oder die Auskunft den Zweck einer Strafuntersuchung oder eines andern Untersuchungsverfahrens in Frage stellt (Art. 9 Abs. 2 DSG).

Die erwähnten Einschränkungsgründe sind sehr restriktiv anzuwenden. Aus Sicht des Eidgenössischen Datenschutzbeauftragten liegen keine Einschränkungsgründe im Sinne von Art. 9 Abs. 1 und 2 DSG vor, die eine generelle Verweigerung der Einsicht in interne Akten - wie sie heute aufgrund des Kreisschreibens praktiziert wird - zulassen würde. Das Auskunftsrecht der betroffenen Personen (in der Regel dasjenige der Versicherten) wird somit verletzt, soweit die vorenthaltenen Akten ihre eigenen Daten betreffen. Insbesondere ist weder im UVG noch in einem anderen formellen Gesetz eine Norm enthalten, die das Auskunftsrecht nach DSG einschränkt (vgl. Art. 9 Abs. 1 Bst. a DSG). Würde man eine das Auskunftsrecht beschränkende gesetzliche Grundlage schaffen, müsste sie zudem für den jeweiligen Zweck tatsächlich geeignet und notwendig sein (Grundsatz der Verhältnismässigkeit).

3.4. Die verwehrte Einsicht in interne Akten ist aus Sicht des Datenschutzes um so bedenklicher, als der offene und nicht abschliessende Charakter der internen Akten die Verwaltung geradezu einlädt, interne Akten anzulegen, welche die datenschutzrechtlichen Grundsätze (Verhältnismässigkeit, Transparenz, Zweckbindung) verletzen.

Die internen Akten sind durchaus mit sogenannten «Memofeldern» «Bemerkungen» oder «Freitexten» zu vergleichen, deren Umfang und Zweck nicht klar bestimmt sind. Der Eidgenössische Datenschutzbeauftragte hat schon mehrmals auf die Widerrechtlichkeit von solchen «Freitexten» aufmerksam gemacht. Insbesondere subjektive Wertungen in internen Akten (Beispiel aus der Praxis: abschätzige Bemerkungen eines Dritten über einen Versicherten) sind höchst fragwürdig und verstossen insbesondere gegen das Verhältnismässigkeitsprinzip (vgl. Art. 4 Abs. 2 DSG). Jüngstes Beispiel aus der Praxis ist das Arbeits-Informationssystem AVAM des Bundesamtes für Industrie, Gewerbe und Arbeit (BIGA), heute Bundesamt für Wirtschaft und Arbeit (BWA), welches unter der Position «Bemerkungen» zum Teil besonders schützenswerte Daten über Arbeitslose enthielt (Gesundheitsdaten, Daten über strafrechtliche Massnahmen usw.). Das AVAM sollte eigentlich nur privaten Personalberatungsbüros zugänglich sein, war aber im September 1997 für einige Tage frei auf dem Internet abrufbar.

Offensichtlich ist der Begriff der internen Akten für alle Beteiligten unklar. Dokumente ohne konkrete und abschliessende Umschreibung des Umfangs und des Zwecks sind für die betroffenen Personen nicht nachvollziehbar und verstossen somit gegen das Transparenzprinzip nach Art. 4 Abs. 2 DSG. Zudem ist die Gefahr nicht von der Hand zu weisen, dass interne Akten aufgrund ihres geheimen Charakters auch für andere Zwecke gebraucht werden. So wäre es etwa denkbar, dass interne Akten nicht nur in einem Versicherten-Dossier enthalten sind, sondern gleichzeitig auch Eingang in Dossiers von Familienangehörigen finden. Personendaten dürfen jedoch nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist (Art. 4 Abs. 3 DSG).

Solche Datenbearbeitungen sind grundsätzlich widerrechtlich. Dies ist um so gravierender, wenn bei persönlichkeitsverletzenden, internen Akten den betroffenen Personen die Auskunft verweigert wird. Sogar bei Gewährung des Auskunftsrechts nach DSG würde es sich in diesem Fall immer noch um eine krasse Datenschutzverletzung handeln.

3.5. Inwiefern die Beschwerdeführerin berechtigt ist, Einsicht in die Akten betreffend ihren verstorbenen Ehemann zu erhalten, ist nicht in erster Linie eine Frage des Persönlichkeitsschutzes. Denn wie die Beschwerdegegnerin zu Recht ausführt, ist das Auskunftsrecht des verstorbenen Ehemanns nicht unmittelbar auf die Beschwerdeführerin übergegangen.

Vielmehr gibt Art. 1 Abs. 7 Satz 2 der Verordnung vom 14. Juni 1993 zum Bundesgesetz über den Datenschutz (VDSG, SR 235.11), wonach nahe Verwandtschaft sowie Ehe mit der verstorbenen Person ein Interesse an der Auskunft begründen, die von der Rechtsprechung zu Art. 4 BV entwickelten Mindestgrundsätze wieder (vgl. EDSB, Kommentar DSG, Kommentar zur VDSG, S. 542).

Demnach genügt als schutzwürdiges Interesse für die Akteneinsicht bereits die faktische Betroffenheit. Rechtlich geschützte Interessen sind nicht mehr erforderlich. Inwiefern welche Verwandte zu welchem Grad Akteneinsicht haben, kann nicht abschliessend beurteilt werden und hängt von den Umständen des Einzelfalls ab. Jedoch wird davon ausgegangen, dass das schutzwürdige Interesse bei Ehegatten, Eltern und direkten Nachfahren grundsätzlich gegeben ist (vgl. VPB 55.3, S. 30). Dies ist auch der Grund, weshalb die vorerwähnte Bestimmung Aufnahme in die VDSG fand.

Auch wenn das schutzwürdige Interesse der Akteneinsicht für die Beschwerdeführerin vorliegend gegeben sein mag, ist noch zu untersuchen, ob nicht höherwertige Interessen diesem entgegenstehen (vgl. VPB 55.3, S. 33). Es ist insbesondere zu prüfen, ob überwiegende Interessen von Angehörigen der verstorbenen Person oder von Dritten vorhanden sind (Art. 1 Abs. 7 Satz 1 VDSG). Über den Umfang der Akteneinsicht im vorliegenden Fall muss also eine Güterabwägung Aufschluss geben (siehe auch 3. Tätigkeitsbericht EDSB 1995/96, S. 54 oben).

4. Fazit

4.1. Die Praxis im Unfallversicherungsbereich zeigt, dass die Führung von (nicht edierbaren) internen Akten und externen Akten, welche herausgegeben werden, oftmals gegen den verfassungsmässigen Grundsatz des rechtlichen Gehörs verstösst.

4.2. Eine generelle Verweigerung der Einsicht in interne Akten ist mit dem Grundrecht der persönlichen Freiheit nicht vereinbar. Sie verletzt das im DSG statuierte Auskunftsrecht.

4.3. Das Kreisschreiben des BSV über die Aktenführung und Akteneinsicht in der obligatorischen Unfallversicherung vom 1. Juli 1991 sowie das Kreisschreiben des BSV über die Schweigepflicht und Akteneinsicht in der AHV/IV/EO/EL/FL vom 1. Oktober 1993 sind entsprechend anzupassen.

[3] Zu beziehen beim Bundesamt für Sozialversicherung, 3003 Bern.
[4] Zu beziehen bei der Eidgenössischen Drucksachen- und Materialzentrale, 3000 Bern.

Dokumente des EDSB

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
¹	Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
²	Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
³	Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 9 Sous-traitance - 1 Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
¹	Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
^a	seuls sont effectués les traitements que le responsable du traitement serait en droit d'effectuer lui-même;
^b	aucune obligation légale ou contractuelle de garder le secret ne l'interdit.
²	Le responsable du traitement doit en particulier s'assurer que le sous-traitant est en mesure de garantir la sécurité des données.
³	Le sous-traitant ne peut lui-même sous-traiter un traitement à un tiers qu'avec l'autorisation préalable du responsable du traitement.
⁴	Il peut faire valoir les mêmes motifs justificatifs que le responsable du traitement.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
¹	Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
²	Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
³	Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
¹	Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
²	Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
³	Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
¹	Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
²	Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
³	Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 4 Préposé fédéral à la protection des données et à la transparence - 1 Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
¹	Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
²	Il ne peut exercer aucune surveillance sur:
^a	l'Assemblée fédérale;
^b	le Conseil fédéral;
^c	les tribunaux fédéraux;
^d	le Ministère public de la Confédération, en ce qui concerne le traitement de données personnelles dans le cadre de procédures pénales;
^e	les autorités fédérales, en ce qui concerne le traitement de données personnelles dans le cadre de leurs activités juridictionnelles ou dans le cadre de procédures d'entraide judiciaire internationale en matière pénale.

SR 235.11 Ordonnance du 31 août 2022 sur la protection des données (OPDo) OPDo Art. 1 Principes - 1 Pour assurer une sécurité adéquate des données, le responsable du traitement et le sous-traitant établissent le besoin de protection des données personnelles et déterminent les mesures techniques et organisationnelles appropriées à prendre par rapport au risque encouru.
¹	Pour assurer une sécurité adéquate des données, le responsable du traitement et le sous-traitant établissent le besoin de protection des données personnelles et déterminent les mesures techniques et organisationnelles appropriées à prendre par rapport au risque encouru.
²	Le besoin de protection des données personnelles est évalué en fonction des critères suivants:
^a	le type de données traitées;
^b	la finalité, la nature, l'étendue et les circonstances du traitement.
³	Le risque pour la personnalité ou les droits fondamentaux de la personne concernée est évalué en fonction des critères suivants:
^a	les causes du risque;
^b	les principales menaces;
^c	les mesures prises ou prévues pour réduire le risque;
^d	la probabilité et la gravité d'une violation de la sécurité des données, malgré les mesures prises ou prévues.
⁴	Lors de la détermination des mesures techniques et organisationnelles, les critères suivants sont de plus pris en compte:
^a	l'état des connaissances;
^b	les coûts de mise en oeuvre.
⁵	Le besoin de protection des données personnelles, le risque encouru, ainsi que les mesures techniques et organisationnelles sont réévalués pendant toute la durée du traitement. En cas de besoin, les mesures sont adaptées.